大変に不勉強な話ではあるのですが。
https://twitter.com/#!/bulkneets/status/172248250999508993
例えばCakePHPという著名なPHPのWebアプリケーションフレームワークは、デフォルトでコピペのP3Pコンパクトポリシーを出力します。このポリシーがCakePHPで作られた運営サイトのポリシーと合致しているか誰が検証するのでしょう
https://github.com/cakephp/cakephp/blob/master/lib/Cake/Model/Datasource/CakeSession.php#L615
こちらのつぶやきで、P3Pについてはじめて知りました。
追記
http://d.hatena.ne.jp/mala/20120220/1329751480
P3Pが最早機能しないことは周知の事実で、ブラウザ関係者であれば尚更です。
あぁやっぱりそうなんだ orz
追記終了
ほんのりまったりと見てみると
http://bakera.jp/ebi/topic/3594
経由
http://d.hatena.ne.jp/satoru_net/20090506/1241545178
下記のkey&valueを出力しておけばOKらしい。
なんて話もあるらしい。
興味深いので調べてみた。
おそらく
http://www.nmda.or.jp/enc/w3c/cr-p3p-20001215j.html
が比較的に適切であろう、と思う。
いやまぁさらに本来的には
http://www.w3.org/TR/2000/CR-P3P-20001215/
が最も適切なんだけど、この分量の英語を読む自信はない orz*1
おいちゃんの基本なので。
まずはこの仕様書、或いはもうちょっと正しくは「Platform for Privacy Preferences(P3P)」の「本来目的とするところ」について、確認をしてみる。
http://www.nmda.or.jp/enc/w3c/cr-p3p-20001215j.html#goals_and_capabs
1.1.1 P3P1.0の最終目的と可能性
-中略-
P3P1.0の最終目的は、次の二つである。最初の一つは、Webサイトがデータ収集を如何に行うかを標準化され、マシンが読むことができ、かつ、簡単な方法で、提示することを可能とすることである。二つ目は、Web利用者がアクセスするWebサイトが、どんなデータを収集し、どの様にデータが使われるかWeb利用者が知ることができ、どのデータやどんな利用をWeb利用者が"オプトイン"または"オプトアウト"することが可能か知ることができるようにすることである。
分かりやすい。
つまり「私(Webサイト)は[こんなデータ]を[こんな風に利用]します」という、Webサイトからユーザへのエクスキューズなんだ。
…それって、固定的に埋め込んでいいものなのかしらん?
興味深いので、@bulkneets さんが書いていた、cakePHPの記述を紐解いてみる。
見ている限り、protected static function _startSession() というインタフェースなので、なんとはなし「(セッションを使っている場合は)常に出力されている」ように見える。面倒だからソースの細かい読み込みとかしてないけど。
http://www.nmda.or.jp/enc/w3c/cr-p3p-20001215j.html#goals_and_capabs
header ('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"');
NOI
for
ACCESS要素:情報の様々な種類にアクセスする機能をサイトが提供するかどうか
個人特定可能データは使われていない
ADM
for
PURPOSE 要素:データ収集目的またはデータ利用目的を含む
ウェブサイトとシステムの管理: 情報は、ウェブサイトとそのコンピュータシステムの 技術サポートのために利用されるかもしれない。 この中には、コンピュータアカウント情報の処理や、サイトの保守管理、およびサイトやエージェントによるウェブサイト活動の確認の過程で利用される情報の処理が含まれる。
DEV
for
PURPOSE 要素
調査と開発: 情報は、サイトやサービス、商品、マーケットを改善したり、評価したり、検討したりするために利用されるかもしれない。 この中には、特定個人に合わせてコンテンツを 変更するために個人情報を利用することや、特定個人を評価したり、ターゲットとしたり、 プロファイルしたり、 また特定個人と連絡をとったりするために個人情報を利用することは含まれない。
PSAi
不明。載ってなかった。
もしPSAであると仮定した場合
for
PURPOSE 要素
ペンネーム分析: 情報は、(名前、住所、電話番号、電子メール、IPアドレスなどの)記録するための個人が特定可能な情報を使うことなく、 個人かコンピュータ毎の個々の記録とペンネームの記録を繋ぐために使われるかもしれない。 このプロファイルは調査や分析、報告を目的とした、習慣や興味、個人の特徴といったものの決定のために使われるかもしれないが、 個人が特定可能な情報としては使われないだろう。 たとえば、市場で売買する会社や人がウェブサイトの異なる部分へアクセスする人の興味を理解したいと考えるかもしれない。
追記
@malaさんから、以下の事を教えていただきましたので、追記と謝意を。
P3Pの小文字のiとoは、それぞれその機能をopt-inで提供、opt-outで提供の意味です。
追記終了
COM
for
CATEGORIES:利用者とユーザエージェントに、意図されたデータ利用に関してヒントを提供するデータ要素の属性
コンピュータ情報: 個人がネットワークにアクセスするときに使用しているコンピュータシステムに関する情報。 IPアドレスやドメインネーム、ブラウザの種類、オペレーティングシステムなど。
NAV
for
CATEGORIES
ナビゲーションとクリックストリームのデータ: 閲覧することによって受動的に生じるデータ。訪問したページやページごとの滞在時間など。
OUR
for
RECIPIENT 要素:データを提供するかもしれないサービス提供者および当組織の業務委託先を超えた、法人組織または事業部門
当組織および/または当組織の業務委託先として業務を行っている法人または当社が業務委託先として業務をしている法人: この場合、 業務委託先(agent)とは、表明された目的の達成のためだけにサービス提供者に代わってデータ を処理する第三者として定義される。 (例えば、サービス提供者とその印刷事務所。ただし、 印刷事務所は住所ラベルを印刷し、それ以上は情報に関わりを持たない。)
OTRo
不明。載ってなかった(上述参照。oはopt-outの略だそうです)。
もしOTRであると仮定した場合
for
RECIPIENT 要素
当組織とは異なるプラクティスに従う法人組織: サービス提供者の制約を受け、サービス提供者に対して責任を負うが、サービス提供者のプラクティスにおいては特定されない方法で データを利用するかもしれない法人組織。 (例えば、サービス提供者が収集したデータを、 その他の目的で利用するかもしれないパートナー企業に提供する場合。 しかし、利用者の利益とサービス提供者の利益への侵害と考えられるような方法でデータが利用されないことを保証することが、サービス提供者の利益となるような場合。)
STP
for
RETENTION 要素:そのステートメントで参照されたデータに当てはまる保有ポリシー
言明された目的のための保有:情報は言明された目的をかなえるために保有される。 これは、 情報ができるだけ早期に破棄されることを要求するものである。 サイトは、データ消去のタイム テーブルを設定した保有ポリシーを持たなければならない。 保有ポリシーは、サイトの人間が読むことのできるプライバシーポリシーに含まれるか、またはそこからリンクが 張られていなければならない。
IND
for
RETENTION 要素
無期限: 情報は、無期限に保有される。これは、保有ポリシーがない場合に起こるかもしれない。受領者が公のフォーラムである場合は、これが適切な保有ポリシーである。
DEM
for
CATEGORIES
人口統計学的・社会経済学的データ: 個人の特徴に関する情報。性別や年齢、収入など。
ん…なんだろ。
少なくとも「フレームワーク側で、特に設定項目もなく自動的に射出していい」内容には、あんまり見えないんだけどなぁ…。
もし、万が一MagicWeaponで扱うとしたら。最低でも「きちんと設定ファイルなりメソッドなりで指定していただいて」になるかなぁ、と。まぁ「基本的に、この業種でこゆことしてたら(こゆことしてなかったら)この辺ぢゃね?」的なヒントくらいは、マニュアルかなにかで指し示すかもしれないけど。
でもまぁ…ぶっちゃけ「多分サポートしない」なぁ(苦笑
非常に興味深いものではあったので、メモ。
…「意味も分からずに、サードパーティーCookieの回避策用呪文」として定着、とかしなきゃいいんだけど。
*1:いやまぁしたら「少量なら読めるのか?」と聞かれると、きっちりと言葉に詰まるのだけど orz
